Deepfake Zoom 詐騙攻擊加密圈內人士，BTC Prague 聯合創始人警告 Mac 惡意軟件

重點摘要：

• 加密貨幣內部人士正受到深偽視頻通話的攻擊，傳送macOS惡意軟體
• BTC Prague聯合創始人Martin Kuchař表示，他被盜的Telegram帳號被用來散布攻擊
• 這場活動的手法與與朝鮮有關的BlueNoroff黑客組織的策略相符

一波高度針對性的加密詐騙浪潮正在利用深偽視頻、關係聯繫和流行的工作工具。BTC Prague聯合創始人Martin Kuchař透露，攻擊者控制了他的Telegram帳號，誘使他人加入帶有惡意軟體的Zoom和Teams視頻通話。

閱讀更多：$50M秒間消失：複製粘貼錢包錯誤引發加密貨幣最昂貴的地址詐騙之一

目錄

• 深偽視頻通話作為入門點
• 與朝鮮有關的惡意軟體鏈鎖定Mac用戶
  • Mac感染的運作方式
  • 加密貨幣盜竊活動日益精細

深偽視頻通話作為入門點

Kuchař警告說，這些攻擊通常從Telegram或其他平台上可信聯絡人的訊息開始。受害者會收到討論此事的邀請，或在Zoom或Microsoft Teams通話中快速同步。

接到通話後，攻擊者會通過AI生成的深偽視頻冒充可信的人。他們聲稱有音頻問題，並要求受害者安裝特定的插件或檔案以解決問題。該檔案讓攻擊者可以完全控制系統。

根據Kuchař的說法，這種方法導致比特幣被盜、Telegram帳號被接管，以及通過劫持身份進一步散布詐騙。他呼籲用戶將所有Telegram訊息視為不可信，並避免未經驗證的Zoom或Teams通話。

閱讀更多：黑客劫持Binance聯合CEO易赫的微信推送迷因幣詐騙，觸發市場狂潮

與朝鮮有關的惡意軟體鏈鎖定Mac用戶

Kuchař分享的技術細節與網路安全公司Huntress的研究結果一致，該公司追蹤到類似攻擊與BlueNoroff有關，這是一個與朝鮮的Lazarus集團相關的黑客組織。

Mac感染的運作方式

攻擊始於一個偽造的Zoom域名，附有假冒的會議連結。當受害者加入通話時，會被建議下載一個名為Zoom support script的檔案。實際上，該檔案被AppleScript感染，啟動多階段攻擊。

惡意軟體工具包包括：

• Telegram 2，一個偽造的更新器，維持持久性
• Root Troy V4，一個遠端存取後門
• InjectWithDyld，一個用於加密有效載荷的隱形載入器
• XScreen，一個監控工具，記錄鍵盤輸入和螢幕活動
• CryptoBot，一個針對超過20個加密錢包的資訊竊取工具

研究人員指出，該惡意軟體會利用有效的開發者簽名，並在Apple Silicon設備上安裝Rosetta，以躲避識別。這使得攻擊較不易被察覺，尤其是對那些誤以為自己系統較不易受到攻擊的Mac用戶。

加密貨幣盜竊活動日益精細

Huntress的研究人員指出，Mac是個極佳的目標，因為越來越多的加密團體在企業中部署Mac。深偽視頻在可信度方面具有強大影響力，結合實時影像與已知平台。

Kuchař提到，基本的安全習慣有助於減少損失。他強調使用雙重驗證、密碼管理方案和硬體錢包。他也建議使用更安全的通訊工具，如Signal或Jitsi，以及選擇更安全的通話平台，例如Google Meet，因為它具有更好的沙箱機制。